Minister: ‘updaten beveiligingssystemen aan bedrijven zelf’

De organisaties zelf zijn aan zet als het gaat om verbeteren van digitale veiligheid. Dit meldt minister Visser van Infrastructuur en Waterstaat in antwoord op Kamervragen die werden gesteld na onderzoek van Binnenlands Bestuur en AG Connect. Uit dat onderzoek bleek dat dat het vaak te lang duurt voordat leveranciers patches gereed hebben voor gaten in de soms decennia oude systemen.Daardoor kan de beveiliging van bruggen, sluisen en verkeerslichten gevaar lopen.

Kwetsbaar

Uit het onderzoek waarover Binnenlands Bestuur en AG Connect in oktober dit jaar schreven, werd duidelijk dat kwetsbaarheden in industriële controlesystemen waarmee onder meer rioleringen, sluizen en verkeerslichtsystemen worden aangestuurd de overheid steeds meer frustreren. De problemen nemen toe, stelden cybersecurityexperts. Het duurt te lang voordat leveranciers patches gereed hebben voor gaten in de soms decennia oude systemen.

Verouderd

VVD-Kamerleden Rajkowski, Heerema en De Groot wilden naar aanleiding daarvan onder meer weten of het klopt het dat de kwetsbaarheden in de controlesystemen onder andere worden veroorzaakt door de afwezigheid van beveiligingsupdates en het gebruik van verouderde besturingssystemen. De minister heeft dat in haar antwoord niet ontkend.

Verbeterslag

Kwetsbaarheden bij Industriële Controle Systemen (ICS) kunnen ontstaan door koppelingen met internet. De risico’s hangen echter samen met de beveiligingsmaatregelen die door de organisaties zijn getroffen. Wel constateert de minister dat er een flinke verbeterslag heeft plaatsgevonden als het gaat om de digitale beveiliging van Rijkswaterstaat. Ook is er extra aandacht voor in het programma ‘Versterken Cyberweerbaarheid in de Watersector’.

Risico’s

Uiteindelijk zijn de organisaties zelf aan zet als het gaat om verbeteren van digitale veiligheid. Daar kunnen zij echter veel hulp bij krijgen. Er zijn bijvoorbeeld diverse handreikingen opgesteld door het Nationaal Cybersecurity Centrum (NCSC) voor het adequaat patchen van industriële besturingssystemen en er wordt door de ministeries regelmatig gesproken met leveranciers, bijvoorbeeld in de Cybersecurity Alliantie, zo blijkt uit de antwoorden van Visser. Het beleid van het ministerie is erop gericht om organisaties bewust te maken van deze kwetsbaarheden, kennis te delen en te waarborgen. Zo moeten nationale risico’s zoveel mogelijk worden verkleind.

Complex probleem

“De beveiliging van dergelijke systemen vereist een andere aanpak dan reguliere IT-systemen. Dit komt door de specifieke risico’s die samenhangen met het toepassingsgebied. Deze systemen hebben een langere levensduur en zijn complexer”, aldus Visser. Over de ethische hacker die op afstand een rioolgemaal kon besturen van een grote gemeenten was om onbekende redenen geen informatie beschikbaar.